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1. Base du rapport 

a. En ce qui concerne la langue, la recherche internationale a ete effectuee sur la base de la demande internationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point. 



□ 



la recherche internationale a ete effectuee sur la base d'une traduction de la demande internationale remise a ('administration. 



b. En ce qui concerne les sequences de nucleotides ou d'acldes amines divulguees dans la demande internationale (le cas echeant), 
la recherche internationale a ete effectuee sur la base du listage des sequences : 
| | contenu dans la demande internationale, sous forme ecrite. 

deposee avec la demande internationale, sous forme dechiffrable par ordinateur. 

rem is ulterieurement a ('administration, sous forme ecrite. 

remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 



2. 
3. 



□ 
□ 
□ 
□ 

□ 



□ 
□ 



La declaration, selon laquelle le listage des sequences presente par ecrit et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

La declaration, selon laquelle les informations enreg is trees sous forme dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presente par ecrit, a ete fournie. 

II a ete estlme que certalnes revendlcatlons ne pouvalent pas falre I'objet d'une recherche (voir le cadre I). 
II y a absence d'untte' de I'lnventlon (voir le cadre II). 



4. En ce qui concerne le tltre, 

|X| le texte est approuve tel qu'il a ete remis par le deposant. 

| | Le texte a ete etabli par ('administration et a la teneur suivante: 



5. En ce qui concerne I'abrege, 

le texte est approuve tel qu'il a ete remis par le deposant 

□ le texte (reproduit dans le cadre III) a ete etabli par I'administration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a I'administration dans un delai d'un mois a compter de la date d'expedttion du present rapport 
de recherche internationale. 

6. La figure des desslns a publier avec I'abrege est la Figure n° 



| | suggeree par le deposant. [X] Aucune des figures 

□ . . . ^ , . . . n'est a publier. 

parce que le deposant n a pas suggere de figure. 

| | parce que cette figure caracterise mieux r invention. 
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In this section, an enciphering algorithm based 
on an elliptical curve is described. This scheme is 
similar to the El Gamal enciphering scheme. A message 
m is enciphered as follows: 
5 The cipher clerk chooses an integer k randomly 

and calculates the points k.P=(xl,yl) and k.Q=(x2,y2) 
on the curve, and the integer c= x2 + m. The cipher of 
m is the triplet (xl,yl,c). 

The deciphering clerk, who possesses d, deciphers 
10 m by calculating: 

(x'2,y'2)=d(xl,yl) and m=c-x' 2 

In order to effect the scalar multiplications 
15 necessary in the calculation methods described 
previously, several algorithms exist: 

"Double and add" algorithm; 
"Addition- subtraction 7 ' algorithm; 
20 Algorithm with addition chains; 

Algorithm with window; 

Algorithm with signed representation. 

This list is not exhaustive. The simplest 

25 algorithm and the one which is most used is the "double 
and add" algorithm. The "double and add" algorithm 
takes as its input a point P belonging to a given 
elliptical curve and an integer d. The integer d is 
denoted d= (d ( t ), d ( t-1 ),..., d ( 0 )) , where (d(t),d(t- 
30 l),...,d(0)) is the binary representation of d, with d(t) 



# # 
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the most significant bit and d(0) the least significant 
bit. The algorithm returns as an output the point 
Q=d . P . 

The "double and add" algorithm includes the 
5 following three steps: 

1) Initialising the point Q with the value P 

2) For i ranging from t-1 to 0, executing: 

2a) Replacing Q with 2Q 
10 2b) If d(i)=l replacing Q with Q+P 

3 ) Returning Q . 

It became clear that the implementation of a 
public key enciphering algorithm of the elliptical 

15 curve type on a smart card was vulnerable to attacks 
consisting of a differential analysis of current 
consumption making it possible to find the private 
deciphering key. These attacks are known as DPA 

attacks, the acronym for Differential Power Analysis. 

20 The principle of these DPA attacks is based on the fact 
that the current consumption of the microprocessor 
executing the instructions varies according to the data 
item being manipulated. 

In particular, when an instruction is 

25 manipulating a data item in which a particular bit is 
constant, where the value . of the other bits may vary, 
analysis of the current consumption related to the 
instruction shows that the mean consumption of the 
instruction is not the same according to whether the 

30 particular bit takes the value 0 or 1. The attack of 
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the DPA type therefore makes it possible to obtain 
additional information on the intermediate data 
manipulated by the microprocessor of the card when a 
cryptographic algorithm is being executed. This 
5 additional information can in some cases reveal the 
private parameters of the deciphering algorithm, making 
the cryptographic system insecure. 

In the remainder of this document a description 
is given of a method of DPA attack on an algorithm of 

10 the elliptical curve type performing an operation of 
the type consisting of the scalar multiplication of a 
point P by an integer d, the integer d being the secret 
key. This attack directly reveals the secret key d. 
It therefore seriously compromises the security of the 

15 implementation of elliptical curves on a smart card. 

The first step of the attack is the recording of 
the current consumption corresponding to the execution 
of the "double and add" algorithm described previously 
for N distinct points P(l),..., P (N) . In an algorithm 

20 based on elliptical curves, the microprocessor of the 
smart card will perform N scalar multiplications 
d.P(l) ,...,d.P(N) . 

For clarity of the description of the attack, the 
first step is to describe a method for obtaining the 

25 value of the bit d(t-l) of the secret key d, where 
(d (t ), d (t-1 ),..., d ( 0 ) ) is the binary representation of d, 
with d(t) the most significant bit and d(0) the least 
significant bit. Next the description of an algorithm 
which makes it possible to find the value of d is 

30 given. 
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The points P(l) to P(N) are grouped together 
according to the value of the last bit of the abscissa 
of 4.P, where P designates one of the points P(l) to 
P(N). The first group consists of the points P such 
5 that the last bit of the abscissa of 4.P is equal to 1. 
The second group consists of the points P such that the 
last bit of the abscissa of 4.P is equal to 0. The 
mean of the current consumptions corresponding to each 
of the two groups is calculated, and the difference 

10 curve between these two means is calculated. 

If the bit d(t-l) of d is equal to 0, then the 
scalar multiplication algorithm previously described 
calculates and stores in memory the value of 4. P. This 
means that, when the algorithm is executed in a smart 

15 card, the microprocessor of the card will actually 
calculate 4. P. In this case, in the first message 
group, the last bit of the data item manipulated by the 
microprocessor is always at 1, and in the second 
message group the last bit of the data item manipulated 

20 is always at 0. The mean of the current consumptions 
corresponding to each group is therefore different. 
There therefore appears, in the difference curve 
between the two means, a differential current 
consumption peak. 

25 If on the other hand the bit d(t-l) of d is equal 

to 1, the exponentiation algorithm described previously 
does not calculate the point 4. P. When the algorithm 
is executed by the smart card, the microprocessor 
therefore never manipulates the data item 4. P. 

30 Therefore no differential consumption peak appears. 



10 



This method therefore makes it possible to 
determine the value of the bit d(t-l) of d. 

The algorithm described in the following section 
is a generalisation of the previous algorithm. It 
5 makes it possible to determine the value of the secret 
key d: 

The input is defined by N points denoted P(l) to 
P(N) corresponding to N calculations performed by the 
smart card, and the output by an integer h. 
10 The said algorithm is implemented as follows in 

three steps. 

1) Executing h=l; 

2) For i ranging from t-1 to 1, executing: 

15 2)1) Classifying the points P(l) to P (N) 

according to the value of the last bit of the 

abscissa of (4*h).P; 

2)2) Calculating the current consumption 

mean for each of the two groups; 
20 2)3) Calculating the difference between the 

two means; 

2)4) If the difference shows a differential 
consumption peak, doing h=h*2; otherwise doing 
h=h*2+l; 
25 3) Returning h. 

The above algorithm supplies an integer h such 
that d=2*h or d=2*h+l. In order to obtain the value of 
d, it then suffices to test the two possible 
30 hypotheses. 
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The attack of the DPA type described therefore 
makes it possible to find the private key d. 

The method of the invention consists of in 
devising of three countermeasures to guard against the 
DPA attack described above. 

The method of the first countermeasure consists 
in calculating, from the private key d and the number 
of points N on the elliptical curve, a new deciphering 
integer d' , such that the deciphering of any enciphered 
message with d' gives the same result as with d. 

In the case of a cryptographic algorithm based on 
the use of elliptical curves performing the operation 
Q=d.P where d is the private key and P a point on the 
curve, the calculation of Q^d.P is replaced by the 
following method in four steps: 

1) Determining a security parameter s; in 
practice s can be taken close to 30. 

2) Drawing a random number k between 0 and 2^s. 
20 3) Calculating the integer d'=d+k*n. 

4) Calculating Q=d'.P. 

The method of the first countermeasure comprises 
two variants which relate to the updating of the 

25 integer d' . The first variant consists of the fact 
that a new deciphering integer d' is calculated at each 
new execution of the deciphering algorithm, according 
to the method described previously. The second variant 
consists of the fact that a counter is incremented at 

30 each new execution of the deciphering algorithm. When 



10 




12 



this counter reaches a fixed value T, a new deciphering 
integer d' is calculated according to the method 
described previously, and the counter is reset to zero. 
In practice, T=16 can be taken. 
5 The method of the first countermeasure therefore 

makes the previously described DPA attack impossible by 
changing the deciphering integer d. 

The method of the second countermeasure applies 
to the first class of curves previously described, that 

10 is to say the curves defined on the finite field GF(p) 
having as its equation y"2=x A 3+ax+b . The method of the 
second countermeasure consists in using a random 
calculation modulus at each new execution. This random 
modulus is of the form p' = p*r where r is a random 

15 integer. The scalar multiplication operation Q=d.P 
performed in an algorithm based on an elliptical curve 
is then performed according to the following method in 
five steps: 



20 1) Determining a security parameter s; in 

practice, s can be taken to be close to the number 60. 

2) Drawing the random number r whose binary 
representation makes s bits. 

3) Calculating p'=p*r. 

25 4) Executing the scalar multiplication operation 

Q=d.P, the operations being performed modulo p' . 

5) Performing the reduction operation modulo p 
of the coordinates of the point Q. 
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The method of the second countermeasure comprises 
two variants which relate to the updating of the 
integer r. The first variant consists of the fact that 
a new integer r is calculated at each new execution of 
5 the deciphering algorithm, according to the method 
described previously. The second variant consists of 
the fact that a counter is incremented at each new 
execution of the deciphering algorithm. When this 
counter reaches a fixed value T, a new integer r is 
10 calculated according to the method described 
previously, and the counter is reset to zero. In 
practice, T+16 can be taken. 

The method of the third countermeasure consists 
in "masking" the point P to which it is wished to apply 
15 the scalar multiplication algorithm by adding a random 
point R to it. 

The method of scalar multiplication of a point P 
by an integer d according to CT=d.P comprises the 
following five steps: 

20 

1) Drawing a random point R on the curve. 

2) Calculating P'=P+R. 

3) Scalar multiplication operation Q'=d.P'. 

4) Scalar multiplication operation S=d.R. 
25 5) Calculating Q=Q' - S. 



The method of the third countermeasure comprises 
three variants. The first variant consists of the fact 
that a counter is incremented at each new execution of 
30 the deciphering algorithm. When the deciphering 




14 



algorithm is first executed, the algorithm is executed 
according to the five-step method described above. As 
long as the counter has not reached the limit value T, 
steps 1 and 4 of the method described above are not 
executed, the points R and S keeping the values taken 
during the previous execution. When the counter 

reaches the limit value T, the deciphering algorithm is 
implemented according to the method described 
previously in five steps, and the counter is reset to 
zero. In practice, T=16 can be taken. 

The second variant consists of the fact that the 
card initially has in memory two points on the 
elliptical curves such that S=d.R. Steps 1 and 4 of 
the previous deciphering algorithm are replaced by the 
following steps 1' and 4': 

1') Replacing R with 2.R. 
4') Replacing S with 2.S. 

20 The third variant consists of a modification of 

the second variant characterised in that a counter is 
incremented at each new execution of the deciphering 
algorithm. When the deciphering algorithm is first 
executed, the algorithm is executed according to the 

25 five-step method of the second variant described above. 

As long as the counter has not reached a limit value T, 
steps 1' and 4' of the method described above are not 
executed, points r and S keeping the values taken 
during the previous execution. When the counter 

30 reaches a limit value T, the deciphering algorithm is 
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implemented according to the method previously 
described in five steps, and the counter is reset to 
zero. In practice, T=16 can be taken. 

The application of the above three countermeasure 
5 methods makes it possible to protect any cryptographic 
algorithm based on elliptical curves against the DPA 
attack described above. The three countermeasures 
presented are also compatible with each other: it is 
possible to apply to the RSA deciphering algorithm one, 
10 two or three of the countermeasures described. 
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CLAIMS 



1. A countermeasure method in an electronic 
component implementing a public key cryptography 
5 algorithm based on the use of elliptical curves 
consisting in calculating, using the private key d and 
the number of points n on the said elliptical curve, a 
new deciphering integer d' such that the deciphering of 
any enciphered message, by means of a deciphering 
10 algorithm, with d' , gives the same result as with d, by 
effecting the operation Q=d*P, P being a point on the 
curve, a method characterised in that it comprises four 
steps : 



15 1) Determining a security parameter s; in 

practice s can be taken close to 30. 

2) Drawing a random number k between 0 and 2^s. 

3) Calculating the integer d'=d+k*n. 

4) Calculating Q=d'.P. 

20 

2. A countermeasure method according to Claim 1, 
characterised in that a first variant consists of the 
fact that a new deciphering integer d' is calculated at 
each new execution of the deciphering algorithm. 
25 3. A countermeasure method according to Claim 1, 

characterised in that a second variant consists of the 
fact that a counter is incremented at each new 
execution of the deciphering algorithm until a fixed 
value T is reached. 



• # 
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4. A countermeasure method according to Claim 3, 
characterised in that, once the value T has been 
reached, a new enciphering integer is calculated 
according to the method of Claim 1 and the counter is 

5 reset to zero. 

5. A countermeasure method according to Claim 3, 
characterised in that the value T is equal to the 
integer 16. 

6. A countermeasure method in an electronic 
10 component implementing a public key cryptography 

algorithm based on the use of elliptical curves defined 
on a finite field GF(p), p being a prime number, having 
as its equation y A 2=x /v 3+ax+b, consisting in using a 
random calculation modulus at each new execution of the 
15 form p'=p*r where r is a random integer and having a 
point P, characterised in that the said method executes 
the scalar multiplication operation in five steps: 



1) Determining a security parameter s; in 
20 practice, s can be taken to be close to the number 60. 

2) Drawing the random number r whose binary 
representation makes s bits . 

3) Calculating p'=p*r. 

4) Executing the scalar multiplication operation 
25 Q=d.P, the operations being performed modulo p' . 

5) Performing the reduction operation modulo p 
of the coordinates of the point Q. 
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7. A countermeasure method according to Claim 6, 
characterised in that a new integer is calculated at 
each new execution of the deciphering algorithm. 

8. A countermeasure method according to Claim 6, 
5 characterised in that a counter is incremented at each 

new execution of the deciphering algorithm. 

9. A countermeasure method according to Claim 8, 
characterised in that the counter is reset to zero when 
it has reached a value T. 

10 10. A countermeasure method according to Claim 8 

or Claim 9, characterised in that the value T is equal 
to sixteen. 

11. A countermeasure method in an electronic 
component implementing a public key cryptography 

15 algorithm based on the use of elliptical curves 
consisting in calculating, using the private key d and 
the number of points n on the said elliptical curve, a 
new deciphering integer d' such that the deciphering of 
any enciphered message, by means of a deciphering 

20 algorithm, with d' , gives the same result as with d, by 
performing the operation Q=d*P, P being a point on the 
curve to which the scalar multiplication algorithm is 
applied, adding to it a random point R by an integer d 
according to the equation Q=d*P, a method characterised 

25 in that it comprises the following five steps: 



1) Drawing a random point R on the curve. 

2) Calculating P'=P+R. 

3) Scalar multiplication operation Q'=d.P' 
30 4) Scalar multiplication operation S=d.R. 
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5) Calculating Q=Q' - S. 

12. A countermeasure method according to Claim 
12, characterised in that a counter is incremented at 

5 each new execution of the deciphering algorithm up to a 
value T. 

13. A countermeasure method according to Claim 
12, characterised in that the counter is reset to zero 
once the value T has been reached. 

10 14. A countermeasure method according to Claim 

12, characterised in that a counter is incremented at 
each new execution of the deciphering algorithm up to a 
value T. 

15. A countermeasure method according to Claim 
15 11, characterised in that the elliptical curve has in 

memory two points such that S=d*R, steps 1 and 4 then 
being replaced by steps 1' and 4': 

1' ) Replacing R with 2.R. 
20 4') Replacing S with 2.S. 

16. A countermeasure method according to Claim 
15, characterised in that a counter is incremented at 
each new execution of the deciphering algorithm up to a 

25 value T. 

17. A countermeasure method according to Claim 
15, characterised in that a counter is incremented at 
each new execution of the deciphering algorithm up to a 
value T. 
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I. Base du rapport 

1 . En ce qui concerne les elements de la demande intemationale (les feuilles de remplacement qui ont ete remises 
a I'office recepteur en reponse a une invitation faite conformement a I'articie 14 sont considerees dans le present 
rapport comme "initiaiement deposees" et ne sont pas jointes en annexe au rapport puisqu'elles ne contiennent 
pas de modifications (regies 70. 16 et 70. 17)): 

Description, pages: 

1-5 version initiale 

6-17 re$ue(s) le 12/03/2001 avec la lettre du 07/03/2001 
Revendications, N°: 

1 -1 5 re?ue(s) le 1 2/03/2001 avec la lettre du 07/03/2001 

2. En ce qui concerne la langue, tous les elements indiques ci-dessus etaient k la disposition de 1'administration ou 
lui ont ete remis dans ta langue dans laquelle fa demande intemationale a ete deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient k la disposition de 1'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche intemationale (selon la regie 23.1 (b)). 

□ la langue de publication de la demande intemationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire intemationale (selon la rkg\e 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 

intemationale (le cas echeant), I'examen preliminaire intemationale a 6te effectue sur la base du listage des 



□ contenu dans la demande intemationale, sous forme ecrite. 

□ depose avec la demande Internationale, sous forme d6chiffrable par ordinateur. 

□ remis ulterieurement k 1'administration, sous forme ecrite. 

□ remis ulterieurement k 1'administration, sous forme d^chiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-dela 
de la divulgation faite dans la demande telle que deposee, a ete foumie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques k 
celles du listages des sequences Presente par ecrit, a ete fournie. 

4. Les modifications ont entraine I'annulation : 

□ de la description, pages : 



55.3). 



sequences : 
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□ des revendications, n 05 : 

□ des dessins, feuilies : 

5. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considerees 
comme allant au-dela de l'expos£ de Pinvention tel qu'il a et§ depose, comme il est indique ci-apres (regie 
70.2(c)) : 

(Toute feuille de rempfacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 



6. Observations complementaires, le cas 6ch6ant : 



V. Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibilite 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : Revendications 1-15 

Non : Revendications 

Activite inventive Oui : Revendications 

Non: Revendications 1-15 

Possibilite d'application industrielle Oui : Revendications 1-15 

Non : Revendications 



2. Citations et explications 
voir feuille separee 



VIII. Observations relatives a la demande intemationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent enti&rement sur la description : 
voir feuille separee 
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Concernant le point V 

1 . II est fait reference aux documents suivants: 

D1: Paul Kocher et al.: 'Introduction to Differential Power Analysis and 
Related Attacks' <URL: 

http://www.cryptography.com/dpa/technical/index.html>, pages 1-8, 
XP002132318 San Francisco, CA, USA 

D2: Menkus B: 'Two important data encryption structures reported broken 
in record times 1 EDPACS, Jan. 1999, Auerbach Publications, USA, vol. 
26, no. 7, pages 15-18, XP000884687 ISSN: 0736-6981 

2. Le document D2 (Menkus) divulgue I'idee qui est a la base des revendications 
independantes. En effet, ce document divulgue (voir en particulier la page 18) un 
procede de contre-mesure qui repose sur I'incorporation de calculs aleatoires 
dans le logiciel de la puce integree, ou sur la modification de I'ordre d'operations 
effectuees par ce logiciel. 

Le fait que dans les revendications independantes 1 , 6, et 1 1 ces calculs 
aleatoires soient mis en oeuvre dans le cadre d'algorithmes a courbes elliptiques, 
en eux-memes bien connus, n'apporte aucun avantage qui irait au dela de cette 
idee de base, et cette caracteristique, bien que rendant nouveau I'objet de ces 
revendications, ne temoigne done pas d'une activite inventive. 

3. Vu que I'objet des revendications independantes est nouveau, ceci est egalement 
vrai pour les revendications dependantes. Cependant, ces revendications ne 
contiennent pas de caracteristiques additionnelles qui rendent inventif leur objet. 

4. II est a noter que le document D1 est egalement considere comme tres pertinent. 
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Concernant le point VIII 

Utilisation de I'expression "une premiere variante consiste en ce que" dans la 
revendication 2, et "une seconde variante consiste en ce que" dans la revendication 3, 
rend ambigu I'objet de ces revendications (article 6 PCT). 
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Ces algorithmes sont facilement t ransposables 
aux courbes elliptiques . Ainsi, il est possible 
de mettre en oeuvre des algorithmes assurant 
1 ' au t hent i f i c a t i on , la confidentiality, le 

5 controle d'integrite e t . 1 ' e change de c 1 e . 

Un point commun a la plupart des algorithmes 
cryptographiques bases sur les courbes 

elliptiques est qu'ils cotnprennent comme 

10 parametre une courbe elliptique definie sur un 
corps fini et un point. P appartenant a cette 
courbe elliptique. La cle priyee est un entier d 
choisi aleatoirement . La clef publique est .un 
point de la courbe Q tel que Q=d.P. Ces 

15 algorithmes cryptographiques font general ement 
intervenir une mul t ipl icat ioi\ scalaire dans le 
calcul d'un point R = d . T ou d est la clef 
secrete . 



20 Dans ce paragraphe, on decrit un algorithme de 
chiffrement a base de courbe elliptique. Un 
document Menkus B : w Two important ^ data 
encryption structures reported broken in record 
times " EDPACS, Jan. 1999, auerbach 

25 Publications, USA, vol.26, no . 7 , pages 15-18, 
XP000884687 ISSN :0736-6981, cite D2, suggere 
1 ' utilisation de nombres aleatoires sans 
preciser la mise en oeuvre de ces nombres 
aleatoires dans le cadre d' algorithme a courbes 

30 elliptiques. Le schema de cet alogrithme est 
analogue au schema de chiffrement d'El Gamal . Un 
message m est chiffre de la maniere suivante : 
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Le chiffreur choisit un entier k aleatoirement 
et calcule les points k.P=(xl,yl) et k.Q=(x2,y2) 
de la courbe, et l'eritier c= x2 - + m. Le chiffre 
5 de m est le triplet (xl,yl,c). 

Le dechif f reur <jui possede d dechif f re m en 
calculant : 

(x'2,y'2)=d(xl,yl) et m=c-x'2 

10 Pour realiser les multiplications scalaires 
■ necessaires dans les procede de- calcul decrits 
:precedemment , plusieurs algori thme.s. existent : 

Algorithme * double and add " ; 

15 Algorithme 14 add it ion - sous tract ion " 

Algorithme avec chaines d'aiddition ; 

Algorithme avec fenetre ; 

Algorithme avec representation signee ; 

20 Cette liste ' n'est pas exhaustive. L' algorithme 
le plus simple et le plus utilise est 
1' algorithme " double and add ". L' algorithme 
w double and add " prend en entree un point P 
appartenant a une courbe elliptique donnee et un 

25 entier d. L'entier d est note d= ( d ( t ) , d ( t - 1 ) , , 
d(0)), oil - . (d ( t > , d ( t - 1 ) , ~, d ( 0 ) ) est la 

representation binaire de d, avec d(t) le bit de 
poids fort et d(0) le bit de poids faible. 
L'algorithme retourne en sortie le. point Q = d.P. 



30 



L'algorithme M double and add " comporte les 
e t ape s sui van t e s : 
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1 ) Initialiser le point Q avec la valeur P 

2) Pour i allant de t-1 a 0 executer : 
2a) Remplacer Q par 2Q 

5 • 2b) Si d(i)=l remplacer Q par Q+P 

3) Retourner Q. 

II est apparu que 1 ' implementation sur carte a 
puce d'un algorithme de chiffrement a cl§ 

10 -publiq-ue du type courbe elliptique etait 
vulnerable a des attaques consistant en une 
. analyse dif f Irentielle de consommation de 
courant permettant de retrouver la cle privee de 
dechif frement . Ces attaques sont appelees 

15 attaques DPA, acronyme pour Differential Power 
Analysis. Le principe de ces attaques. D PA repose 
sur le fait que la consommat ion ' de courant du 
mi croproce sseur executant des instructions varie 
selon la donnee manipul ee . 

20 

En particulier, lorsqu'une instruction manipule 
une donnee dont un bit particulier est constant, 
la valeur des autres bits pouvant varier, 
l'analyse de la consommation de courant liee a 

25 1' instruction montre que la consommation moyenne 
de 1' instruction n'est pas la meme suivant que 
le bit particulier prend la valeur 0 ou 1. 
L'attaque de type DPA permet done d'obtenir des 
informations supplementaires sur les donnees 

30 int ermediaires manipulees par le microprocesseur 
de la carte lors de l'execution d'un algorithme 
crypt ographique . Ces informations 
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supplement aires peuvent dans certain 
permettre de reveler les. parametres prives 
1 ' algor i t hme de dechif frement , rendant 
systeme. crypt ographique non sur. 

5 

Dans la suite de ce document on decrit un .' i 
procede d' attaque DPA sur un algorithme de type 
courbe elliptique realisant une operation du . 
type, multiplication scalaire d'un point P par un 
10 entier". d r l'entier d etant la cle secrete. Cet.te ... 
attaque' perme.t. de reveler directement la cle 
secrete - d. . : Elle compromet done gravement la , 
securite de 1 ' implementation de courbes . 
elliptiques sur une carte a puce. 

15 

Le document Paul Kpcher et al . 

« Introduction to Differential Power Analysis 
and Relatid Attacks »<URL : 

http : / /www . cryptography . com/dpa/ technical /index . html > , pages 
20 1 - 8 , XP0021323 18 San Francisco; CA , USA , cite Dl , 
suggere 1 ' ut il isat ion de cont r e - a t t aque s dans 
des implementations du type D i f f i e - He 1 lman , 
RSA ? DSS et autres systemes sans jamais . 
proposer de mises en oeuvres precises. 
25 La premiere etape de 1' attaque est 

1 ' enregis trement de la consommation de courant 
corre spondant a l'execution de l'algorithme 
w double and add " decrit precedernment pour N 
points distincts P(l),„., P(N). Dans un 
30 algorithme a base de courbes elliptiques, le 
microprocesseur de . la carte a puce va effectuer 
N multiplications scalaires d.P(l) ,».,d.P(N) . 
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Pour la clarte de la description de l'attaque, 
on commence par decrire une methode permettant 
d'obtenir la valeur du bit d(t-l) de la cle 
5 secrete d, ou ( d ( t ) , d ( t - 1 ) , ... , d(0)) est la 
representation binaire de d, avec d(t) le bit de 
poids fort et d(0) le* bit de poids faible. On 
donne ensuite la description d'un algorithme qui 
permet de retrouver la valeur de d. 

10 : : . 

On groupe les points P ( 1 ) : a P (N) suivant la 
valeur du dernier .bit de 1'abscisse de 4.P, ou P 
designe un des points P(l) a P (N) . Le premier 
groupe est constitue des points P tels que le 

15 dernier bit de 1'abscisse de 4.P est egal a 1. 
Le* second groupe est constitue des points P tels 
que le dernier bit de l'abscisse de 4.P est egal 
a 0. On calcule la moyenne des consomma t i ons de 
courant corr espondant a chacun des deux groupes, 

20 et on calcule la courbe de difference entre ces 
deux moyenne s . 

Si le bit d(t-l) de d est egal a 0, alors 
1 r algorithme de multiplication scalaire 

25 precedemment decrit calcule et met en memoire la 
valeur de 4. P. Cela signifie que lors de 
l'execution de 1 ' algorithme dans une carte a 
puce, le microprocesseur de la carte va 
e f f ec t i vement calculer 4. P. Dans ce cas, dans le 

30 premier groupe de message le dernier bit de la 
donnee manipulee . par le microprocesseur est 
toujours a 1, et dans le deuxieme groupe de 
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message le dernier bit de la donnee manipulee 
-est toujours a 0. La moyenne des . consommat i ons 
de courant correspondant a chaque groupe est 
done dif f erente . II apparait done -dans la courbe 
5 de difference entre les 2 moyennes un pic de 
differentiel de consommat ion de courant. 

Si au contraire le bit d(t-l) de; d . est egal a 
1, l'algorithme d ' exponent i at ion . decrit 

10 precedemment ne calcule pas le point 4. P. Lors 
de 1' execution de l'algorithme par la carte a 
puce, le mi c r opr o ce s s eur ne manipule done jamais 
la donnee 4. P. II n'apparait done pas de pic de 
differentiel de consommat ion . 

15 

Cette methode permet done . de determiner la 
valeur du bit d(t-l) de d. 

L'algorithme decrit dans le paragraphe suivant 
20 est une generalisation de l'algorithme 
precedant . II permet de determiner la valeur de 
la cle secrete d : 

On definit l'entree par N points notes P(l) a 
25 P (N) correspondant a N calculs realises par' la 
carte a puce et la sortie par un entier h. 

Ledit algorithme s'effectue de la maniere 
suivante en trois etapes. 



30 



1) Executer h=l ; 

2) Pour i allant de t-1 a 1, executer 
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2)1) Classer les points P(l) a P (N) suivant la 
.. valeur du dernier . bit de 1 ' abscisse . de 

( 4 * h ) . P ; 

2.) 2) Calculer la moyenne de consomma t ion - de 
5- = courant pour chacun des deux groupes ; 

2)3) Calculer la difference entre les 2 
moyennes ; 

' • 2 ) 4) Si la difference fait apparai tre un pic de 
. * differentiel de consomma t i on , f aire ,h=h*2 ; 
10 . .sinonfaireh = h*2 + l; 

3).. Retourner h. 

L ' algor i thme precedent fournit un entier h tel 
que d=2*h ou d=2*h+l. Pour obtenir la valeur de 
15 d, il suffit ensuite de tester les deux 
hypotheses possibles. 

L'attaque de type DPA decrite permet done de 
retrouver la cle privee d. 

20. Le procede de 1' invention consiste en 
1 ' elaborat ion de trois cont re -mesures permettant 
de se premunir contre l'attaque DPA pr ecedemment 
decrite . 

25 Le procede de la premiere con t re - me sure consiste 
a calculer a partir de la cle privee d et du 
nombre de points n de la courbe elliptique un 
nouvel entier de dechif frement d', tel que le 
dechi f f rement d'un message chiffre quelconque 

30 avec d' donne le me me resultat qu'avec d. 
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Dans le cas d'un algorithme cryptographique base 
sur 1 ' ut il isat ion de courbes elliptiques 
realisant l'operation Q = d.P ou d est la cle 
privee et P un point de la courbe, le calcul de 
5 Q=d . P est remplace par le procede suivant en 
quatre etapes: 

1) Determination d'un parametre de securite s, 
dans la pratique on peut prendre s voisin de 30. 

10 

2) Tirage d'un riombre aleatoire k compris entre 
0 e t 2 A s ; 

3) Calcul de rentier d'=d + Jc*n; 

15 

4) Calcul de Q=d'.P. 

Le procede de la premiere cont r e - me sur e comprend 
deux variantes qui concernent la mise a jour de 
l'entier d' . La premiere variante consiste en ce 
qu'un nouvel entier de dechi f f rement d'est 
calcule a chaque nouvelle execution de 
l'algorithme de dechif f re.nient , selon le procede 
decrit precedemment . La seconde variante 
consiste en ce qu'un compteur est increment e a 
chaque nouvelle execution de 1'algorithme de 
dechif f rement . Lorsque ce compteur atteint une 
valeur fixee T, un nouvel entier de 

dechi f f rement d' est calcule selon le procede 
decrit precedemment, et le compteur est remis a 
zero. Dans la pratique, on peut prendre T=16. 
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Le procede de la premiere .contre-tnesure rend 
done l'attaque . D PA precedemment decrite 
impossible en changeant d'entier d de 
dechif f rement . 

5 

Le procede de la deuxieme con t re - me sure 
s'applique a la premiere classe de courbes 
precedemment decrites, e'est a dire les courbes" 
def inies sur le corps f ini GF (p) ayant pour 

10 equation y A 2=x A 3+ax+b. Le procede de la deuxieme 
cont re -mesure consiste a utiliser un module de 
calcul aleatoire a chaque nouvelle execution. Ce 
module aleatoire est de la forme p ' = p*r ou r 
est un entier aleatoire. L' operation de 

15 multiplication scalaire Q=d.p realisee dans un 
algorithme a base de courbe elliptique 
s'effectue alors selon le procede suivant en 
cinq etapes : 



20 1) Determination d'un parametre de securite s; 
dans la pratique, on peut prendre s voisin du 
nombr e 6 0; 

2) Tirage du .nombre aleatoire r dont la 
representation binaire fait s bits; 
25 3 ) Calcul de p'=p*r; 

4) Executer l'operation de multiplication 
scalaire Q=d.P / les operations etant effectuees 
modul o p ' ; 

5) Effectuer l'operation de reduction modulo p 
30 des coordonnees du point Q. 
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Le procede de la seconde contre -mesure comprend 
deux variantes qui concernent la mi-se a jour de 
1' entier r. La premiere variante consiste en ce 
qu'un nouvel entier r est calcule a chaque 
5 nouvelle execution de 1 ' algori thme de 

dechi f f rement , selon le procede decrit 

precedemment. La seconde variante consiste en ce 
qu'un compteur est increments a chaque. nouvelle 
execution de l'algorithme de dechi f f rement . 
10 Lorsque ce compteur atteint une valeur fix "e T, 
un nouvel entier r est calcule selon le procede 
decrit precedemment, et le compteur est remis a 
zero.. Dans la pratique, on peut prendre T+16. 

15 Le procede de la troisieme con t re - me sure 
consiste a w masquer " le point P sur lequel on 
veut appliquer l'algorithme de multiplication 
scalaire en lui aj-outant un point aleatoire R. 
Le procede de multiplication scalaire d ' un point 

20 P par un entier d suivant Q = d.P comprend les 
cinq etapes suivantes : 

1) Tirage d'un point aleatoire R sur la courbe; 
25 2 ) Calcul-de P'=P + R; 

3) Operation de multiplication scalaire Q'=d.P'; 

4) Operation de multiplication scalaire S=d.R; 

30 

5) Calcul de Q-Q' - S . 

mmMmmeizmu feuille modifi e 
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Le procede de la troisieme cont re -mesure 
comprend trois variantes. la premiere variante 
consiste en ce qu'un compteur est increments a 
chaque nouvelle execution de 1 ' algor i thme de 
5 dechif f rement . Lors de la premiere execution de 
1'algorithme de dechif f rement , 1'algorithme est 
execute suivant le procede en cinq etapes decrit 
precedemment. Tant que le compteur n'a pas 
atteint la valeur limite T, les etapes 1 et 4 du 

10 procede decrit precedemment ne sont pas 
executees, les points R et S gardant les valeurs 
prises lors de 1'execution precedente. Lorsque 
le compteur atteint la valeur limite T, 
1'algorithme de dechif f rement s "effectue 

15 suivant le procede decrit precedemment en cinq 
etapes, et le compteur est reqnis a zero. Dans la 
pratique, on peut prendre T=16. 

La deuxieme variante consiste en ce que la carte 
20 possede initialement en memoire deux points de 
la courbe ellipt igue tels que S=d.R. Les etapes 
1 et 4 de 1'algorithme de dechif f rement 
precedent sont remplacees par les etapes 1' et 



25 



4 ' suivantes : 

1') Remplacer R par 2.R: 

4') Remplacer S par 2.S. 



30 La troisieme variante consiste en une 
modification de la deuxieme variante 

caracterisee en ce qu'un compteur est incremente 
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a chaque nouvelle execution de l'algorithme de 
dechi f f rement „- Lors de la premiere execution de 
l'algorithme de dechi f f rement , l'algorithme est 
execute suivant le procede en cinq etapes de la 
5 deuxieme variante decrit precedemment . Tant que 
le compteur-n'a pas atteint une valeur limite T, 
les etapes i' et 4' du procede decrit 
precedemment ne sont pas executees, les points R 
et S gardant les valeurs prises lors de 

10 1 ' execution precedente. Lorsque le compteur 
atteint une valeur limite T , l'algorithme de 
dechi ff rement s'effectue suivant le procede 
precedemment decrit en cinq etapes, et le 
compteur est remis a zero. Dans la pratique, on 

15 peut prendre T=16 . 

L' application des trois precedes de contre- 
mesure precedents permet de proteger tout 
l'algorithme crypt ographique base sur les 

20 courbes elliptiques contre 1'attaque DPA 
precedemment decrit. Les trois c ont r e - me sur e s 
presentees sont de plus compatibles entre elles: 
il est possible d'appliquer a l'algorithme de 
dechi f f rement RSA une, deux ou trois des contre- 

25 mesures decrites. 

1- Procede de contre -mesure dans un composant 
electronique mettant en oeuvre un algorithme de 
crypt ographie a cle publique base sur 
1 ' utilisation des courbes elliptiques consistant 
30 a calculer a partir de la cle privee d et du 
nombre de points n de ladite courbe elliptique 
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un nouvel entier de dechif f rement d 1 tel que le 
dechif frement d 1 un -message chiffre quelconque, 
aumoyen d'un algorithme de dechif fremet, avec d' 
donne le meme resultat qu 1 avec d, en realisant 
5 1 'operation Q=d*P, P etant un point de la 
courbe, proced^ caracterise en ce qu ' i 1 comprend 
quat re e t ape s : 

1) Determination d'un parametre de securite s, 
10 dans la pratique on peut prendre s voisin de 30; 

2) Tirage d'un nombre aleatoire k compris entre 
0 e t 2 A s ; 

3) Calcul de l'entier d'=d + )c*n; 

4) Calcul de Q=d'.P. 

2- Procede de centre -mesure selon la 

revendicat ion 1 caracterise en ce qu 1 une 
20 premiere variante consiste en ce qu 1 un nouvel 
entier de dechif frement d 1 est calcule a chaque 
nouvelle execution de 1 1 algorithme de 

dechif frement . 

25 3 - Procede de cont re -mesure selon la 

revendicat ion 1 caracterise en ce qu 1 une seconde 
variante consiste en ce qu 1 un compteur est 
increments a chaque nouvelle execution de 
1 ' agorithme de dec h i f f rement jusqu'a atteindre 
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une valeur fixee .. T. 

4- Procede de contre -mesure selon la 
r evendi ca t ion 3 caracterise. en ce qu 1 une fois la 

5 valeur T atteinte, un nouvel entier de 
chiffrement est calcule selon le procede de la 
revendicat ion 1 et le compteur est remis a zero. 

5- Procede de cont r e - me sur e selon la 
10 revendicat ion 3 caracterise la valeur T est 

egale a 1 1 entier seize. 

6- Procede de c on t r e - me s ur e dans un composant 
electronique mettant en oeuvre un algorithme de 

15 crypt ographi e a cle publique base sur 

1 1 u t i 1 i s a t i on des courbes elliptiques definies 
sur un corps f ini GF (p) , p etant un nombre 
premier, ayant pour equation y A 2=x A 3+ax+b, 
consistant a utiliser un module de calcul 

20 aleatoire a chaque nouvelle execution de la 
forme p'=p*r oft r est un entier aleatoire et 
presentant un point P caracterise en ce que 
ledit procede execute 1 1 operation de 

multiplication scalaire en cinq etapes: 

25 

1) Determination d ' un parametre de securite s; 
dans la pratique, on peut prendre s voisin. du 
nombre 6 0; 

2) Tirage du nombre aleatoire r dont la 
30 representation binaire fait s bits; 

3) Calcul de p'=p*r; 
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4) Executer l'operation de multiplication 
scalaire Q=d.P, les operations etant effectuees 
modul o p ' ; 

5) Effectuer ^operation de reduction modulo p 
5 des coordonnees du point Q. 

7- Procede de cont re - mesur e selon la 
re vend i cat i on 6 caracterise en ce qu'un nbuvel 
entier est calcule a chaque nouvelle execution 

10 de 1 ' algorithme de dechif f rement . 

8- Procede de con t re - me sure selon la 
.revendicat ion 6 caracterise en ce qu'un compteur 

est increments a chaque nouvelle execution de 
15 1 ' algorithme de dechif f rement . 

9- Procede de contre - me sure selon la 
revendi cat ion 8 caracterise en ce que le 
compteur est remis a zero lorsqu ' il a atteint 

20. une valeur T. 

. 10- Procede de cont re -mesure selon la 
revendi cat ion 8 ou la revendi cat ion 9 

caracterise en ce que la valeur T est egale a 
25 seize. 

11. Procede de cont re -mesure dans un composant 
. e 1 ec t roni que mettant en oeuvre un algorithme de 
cryptographie a cle publique base sur 
30 1 1 ut i 1 i sat ion des courbes elliptiques consistant 
a calculer a partir de la cle privee d et du 
nombre de points n de ladite courbe elliptique 
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un nouvel entier de dechif f rement d' tel que le 
dechif f rement \ d 1 un message chiffre quelconque, 
aumoyen d 1 un algorithme de dechif fremet, avec d' 
donne le me me resultat qu 1 avec d, en realisant 
5 1 'operation Q=d*P, P etant un point de la courbe 
sur lequel est applique 1 1 algorithme de 
multiplication scalaire en lui ajoutant un point 
aleatoire R par un entier d suiavant 1 "equation 
Q=d*P, precede caracterise en ce qu'il comprend 
10 cinq etapes suivantes: 

1) Tirage d ' un point aleatoire R sur la courbe; 

2) Calcul de P'=P + R; 

15 

3) Operation de multiplication scalaire Q'=d.P'; 

4) Operation de multiplication scalaire S=d.R; 
20 5) Calcul de Q = Q'- S. 

12- Precede de cont re -mesure selon la 
revendicat ion 11 caracterise en ce qu 1 un 
compteur est increment e a chaque nouvelle 

25 execution de 1 'algorithme de dechif f rement 
jusqu'a une valeur T. 

13- Procede de cont re -mesure selon la 
revendication 12 caracterise en ce que le 

30 compteur est remis a zero une fois atteint la 
val eur T . 
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14- Procede de contre-mesure selon la 
revendicat ion 11 caracterise en ce que la courbe 
elliptique possede en.memoire deux points tels 
que S=d*R, les etapes 1 et 4 etant alors 
remplace par les etapes 1' et 4 

1') Remplacer R par 2.R: 

4') Remplacer S par 2.S. 



15- Procede de contre-mesure selon la 
revendicat ion 14 : caracterise en ce qu 1 un 
compteur est increments a chaque nouvelle 
execution de I'algorithme de dechif f rement 
15 jusqu'a une valeur T. 
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Form PCT/IPEA/409 (cover sheet) (July 1998) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/FR00/00723 



I. Basis of the report 



1. With regard to the elements of the international application:* 
| | the international application as originally filed 
the description: 

pages 1-5 , as originally filed 

pages , filed with the demand 

pages 6-17 , filed with the letter of 12 March 2001 (12.03.2001) 



the claims: 

pages , as originally filed 

pages , as amended (together with any statement under Article 19 

pages , filed with the demand 

pages 1-15 , filed with the letter of 12 March 2001 (12.03.2001) 

| 1 the drawings: 

pages , as originally filed 

pages , filed with the demand 

pages , filed with the letter of 

| | the sequence listing part of the description: 

pages y as originally filed 

pages 9 filed with the demand 

pages , filed with the letter of 



2. With regard to the language, all the elements marked above were available or furnished to this Authority in the language in which 
the international application was filed, unless otherwise indicated under this item. 

These elements were available or furnished to this Authority in the following language which is: 

1 | the language of a translation furnished for the purposes of international search (under Rule 23. 1(b)). 
| | the language of publication of the international application (under Rule 48.3(b)). 

1 | the language of the translation furnished for the purposes of international preliminary examination (under Rule 55.2 and/ 
or 55.3). 

3. With regard to any nucleotide and/or amino acid sequence disclosed in the international application, the international 
preliminary examination was carried out on the basis of the sequence listing: 

1 I contained in the international application in written form. 

□ 

filed together with the international application in computer readable form. 
I 1 furnished subsequently to this Authority in written form. 
I 1 furnished subsequently to this Authority in computer readable form. 

1 I The statement that the subsequently furnished written sequence listing does not go beyond the disclosure in the 
international application as filed has been furnished. 

I 1 The statement that the information recorded in computer readable form is identical to the written sequence listing has 
been furnished. 

4. 1 1 The amendments have resulted in the cancellation of: 

I I the description, pages 

□ 

the claims, Nos. 



I | the drawings, sheets/fig . 



I I This report has been established as if (some of) the amendments had not been made, since they have been considered to go 

* ' — ' beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)).** 

* Replacement sheets which have been furnished to the receiving Office in response to an invitation under Article 14 are referred to 
in this report as "originally filed" and are not annexed to this report since they do not contain amendments (Rule 70. J 6 
and 70.17). 

** Any replacement sheet containing such amendments must be referred to under item 1 and annexed to this report. 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



1 . Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (I A) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-15 



1-15 



1-15 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

1. Reference is made to the following documents: 

Dl: Paul Kocher et al . : 'Introduction to 

Differential Power Analysis and Related Attacks' 
<URL : http : / /www . cryptography . com/ dpa/ technical/ 
index. html>, pages 1-8, XP002132318 San 
Francisco, CA, USA 



D2 : Menkus B: 'Two important data encryption 

structures reported broken in record times' 
EDPACS, Jan. 1999, Auerbach Publications, USA, 
vol.26, no. 7, pages 15-18, XP000884687 
ISSN: 0736-6981 



2. Document D2 (Menkus) discloses the concept on which 
the independent claims are based. Indeed, said 
document discloses (see, in particular, page 18) a 
countermeasure method based on incorporating random 
calculations into the integrated chip software, or 
the modification to the order of operations carried 
out by said software. 



The fact that in independent Claims 1, 6 and 11, 
said random calculations are implemented within the 



Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



m 




'International application No. 
PCT/FR 00/00723 



3 . 



4 . 



framework of elliptic curve algorithms, which are 
well known per se, does not contribute any advantage 
that would go beyond this basic concept, and said 
feature, while rendering the subject matter of said 
claims novel, does not therefore involve an 
invent i ve step . 

Since the subject matter of the independent claims 
is novel, the same is true of the dependent claims. 
However, said claims do not contain any additional 
features that would render the subject matter 
thereof inventive. 

It should be noted that document Dl is also 
considered to be very relevant. 
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VIII. Certain observations on the international application 



The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

The use of the French expression "a first alternative 
consists in that" in Claim 2, and "a second alternative 
consists in that" in Claim 3 renders the subject matter of 
said claims ambiguous (PCT Article 6) . 
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